Docker 生产环境之使用可信镜像 - 自动化内容信任(content trust)

最新推荐文章于 2025-06-10 09:04:56 发布
翻译 最新推荐文章于 2025-06-10 09:04:56 发布 · 1.8k 阅读 · 0
文章标签:

#docker

本文介绍了如何在Docker环境中配置内容信任,包括通过环境变量提供密码以绕过交互式提示,以及在构建镜像时如何确保镜像是可信的。通过设置DOCKER_CONTENT_TRUST等环境变量,可以实现自动化构建和推送已签名的Docker镜像。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文地址

获取并构建镜像的自动化系统也可以使用内容信任。任何自动化环境都必须在处理镜像前手动或通过脚本方式设置 DOCKER_CONTENT_TRUST

1. 绕过密码请求

要允许工具打包 docker 并推送可信内容,有两个环境变量允许你提供不需要脚本的密码,或者直接输入密码到:

  • DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE
  • DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE

Docker 会尝试使用这些环境变量值作为密钥的密码。例如,镜像发布者可以导出仓库 targetsnapshot 快照密码:

$  export DOCKER_CONTENT_TRUST_ROOT_PASSPHRASE="u7pEQcGoebUHm6LHe6"
$  export DOCKER_CONTENT_TRUST_REPOSITORY_PASSPHRASE="l7pEQcTKJjUHm6Lpe4"

然后,在推送新标签时,Docker 客户端不会请求这些值,而是自动签名:

$  docker push docker/trusttest:latest
The push refers to a repository [docker.io/docker/trusttest] (len: 1)
a9539b34a6ab: Image already exists
b3dbab3810fc: Image already exists
latest: digest: sha256:d149ab53f871 size: 3355
Signing and pushing trust metadata

直接使用 Notary 客户端时,它使用 自己的一组环境变量

2. 构建时使用内容信任

可以使用内容信任进行构建。在运行 docker build 命令之前,应该手动或以脚本方式设置环境变量 DOCKER_CONTENT_TRUST。考虑下面的简单 Dockerfile。

FROM docker/trusttest:latest
RUN echo

FROM 标签正在获取已签名的镜像。不能构建具有本地或未签名的 FROM 的镜像。鉴于标签 latest 的内容信任数据存在,以下构建应该成功:

$  docker build -t docker/trusttest:testing .
Using default tag: latest
latest: Pulling from docker/trusttest

b3dbab3810fc: Pull complete
a9539b34a6ab: Pull complete
Digest: sha256:d149ab53f871

如果启用了内容信任,则依赖于没有信任数据的标记的 Dockerfile 构建,会导致构建命令失败(building from a Dockerfile that relies on tag without trust data, causes the build command to fail):

$  docker build -t docker/trusttest:testing .
unable to process Dockerfile: No trust data for notrust
18、Docker镜像构建:从手动到自动化的全面指南
loss4bartender的博客
07-26 5
本文深入讲解了Docker镜像构建的全过程,从手动操作到自动化流程,涵盖了镜像依赖管理、标签设计、Dockerfile编写技巧、多阶段与参数化构建策略、多进程容器打包、镜像安全性增强等核心主题,旨在帮助读者高效构建、管理和分发Docker镜像
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 5017
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
Docker Content Trust + 镜像签名”,打造安全的 Kubernetes 供应链!
Docker公司
03-21 2306
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面两周前,我们分享了一篇名为“镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!的文章,它主要介绍了 Docker EE 的镜像扫描和基于策略的镜像提升功能为 Kubernetes 软件供应链提供持续、安全的保护。今天,我将为大家带来打造安全的 Kubernetes
Docker 生产环境使用可信镜像 - Docker 中的内容信任content trust
kikajack的博客
03-18 8611
原文地址在联网系统间传输数据时,信任是一个核心问题。特别是,当通过互联网等不可信介质进行通信时,确保系统运行的所有数据的完整性和发布者至关重要。使用 Docker Engine 可以将镜像(数据)推送到公共或私有 registry。内容信任使你能够验证通过任何通道从 registry 接收的所有数据的完整性和发布者。1. 关于 Docker 中的信任内容信任允许使用远程 Docker registr
Docker引擎安全指南:内容信任自动化实践
最新发布
gitblog_00592的博客
06-10 418
Docker引擎安全指南:内容信任自动化实践 前言 在现代CI/CD流程中,自动化是不可或缺的一环。Docker内容信任机制(Docker Content Trust)作为保障容器镜像完整性和来源真实性的重要手段,其自动化集成能力直接决定了能否在DevOps流程中落地应用。本文将深入讲解如何在自动化环境中配置和使用Docker内容信任功能。 内容信任基础概念 Docker内容信任通过数字签名机制确...
Docker 生产环境使用可信镜像 -内容信任content trust)管理密钥
kikajack的博客
03-18 1260
原文地址通过使用密钥来管理镜像标签的信任Docker内容信任使用五种不同类型的密钥: 密钥 描述 root key 镜像标签的内容信任根。启用内容信任后,将创建一次 root 密钥。也称为脱机密钥,因为它应该脱机保存。 targets 此密钥允许签署镜像标记,以管理 delegation,包括 delegations 密钥或允许的 delegations 路径。也称为存储
Docker 1.8.0增加Content Trust,容器安全性提升
Mrex326428的博客
08-25 620
Docker这家初创公司,让Docker在Linux容器中构建和部署应用越来越受欢迎,最近宣布了一项行特性,Docker在其最新版本的开源产品中增添Content Trust,这项功能将为使用容器的人们提供一个额外的安全层。 Docker Content Trust ,现在可以在Docker1.8.0版本中获取,它允许开发者在Docker Hub上下载container images之前检查
C#部署自动化:容器技术的量子跃迁,用Docker和K8s让CI/CD快如闪电
墨夶的博客
04-12 1140
当C#遇上容器化部署,诞生的不仅是代码,而是一个能自我进化、动态伸缩的’智能云原生引擎’。Docker多阶段构建:减少镜像体积与漏洞Kubernetes弹性伸缩:基于负载的自动扩缩容GitHub Actions流水线:从代码到生产的原子化部署安全与监控:签名、扫描、追踪三位一体AI驱动优化:预测资源需求与自愈系统。
docker资源限制与compose
Drw_Dcm的博客
10-19 8327
docker资源限制与compose
Docker安全实践】:确保LLaMA-Factory环境的数据安全与合规
![【Docker安全实践】:确保LLaMA-Factory环境的数据安全与合规](https://img-blog.csdnimg.cn/d60234b3df804483bbbbcb89b2c73c3a.png?x-oss-process=image/watermark,type...然而,容器化技术的发展也带来了新的安全挑
Docker内容信任DCT是什么及其作用介绍
学亮编程手记
07-21 548
Docker 内容信任Docker Content Trust,简称 DCT)是一个安全特性,用于确保 Docker 镜像的完整性和来源可信度。它基于数字签名和密钥管理的概念,为 Docker 镜像提供了一个安全的认证机制。DCT 使用了 Notary 项目作为底层技术,Notary 是一个开源的软件签名和验证服务。
Docker 生产环境使用可信镜像 -内容信任content trust)沙盒中演示
kikajack的博客
03-18 1867
原文地址本页面介绍了如何设置和使用沙盒(sandbox)进行信任实验。沙盒允许你在本地配置和尝试信任操作,而不会影响生产镜像。在开始这个沙盒实验之前,应该仔细阅读 信任概述。1. 先决条件这些说明假定你正在 Linux 或 macOS 中运行。可以在本地机器或虚拟机上运行此沙箱。需要拥有在本地机器或虚拟机上运行 docker 命令的权限。此沙箱需要安装两个 Docker 工具:Docker Engi
Docker 生产环境使用可信镜像 - 内容信任content trust)的委派 delegation
kikajack的博客
03-18 1204
原文地址Docker Engine 支持使用 targets/releases delegation (委托,授权)作为可信镜像标记的规范来源。使用此 delegation 可让你与其他发布者协作,而不共享你仓库密钥,这是你的 targets 和 snapshot 密钥的组合。有关更多信息,请参阅 管理内容信任的密钥。合作者可以保留自己的 delegation 密钥。targets/releases
自动化信任机制脚本
shuxiang850129的专栏
08-08 611
#!/bin/sh ################################################################################################################ ### makedate:2011-09-09                                                
探索Docker的新内容信任功能
danpob13624的博客
04-06 296
现代发展越来越多地涉及利用第三方。 无论是使用Azure和AWS之类的平台从npm或GitHub等存储库中编程库,还是从Stack Overflow复制代码示例,都可以公平地说,应用程序中使用的大多数代码将由主要开发人员以外的其他人编写。 Docker将第三方添加到开发人员可以在其流程中使用的第三方。 具体来说,Docker Hub提供了一种快速启动并运行各种应用程序的好方法。 信任 ...
浅谈Docker的安全性支持(上篇)
dzqxwzoe的博客
02-09 315
说起进程数限制,大家可能都知道ulimit的nproc这个配置,nproc是存在坑的,与其他ulimit选项不同的是,nproc是一个以用户为管理单位的设置选项,即他调节的是属于一个用户UID的最大进程数之和。Namespace为运行中进程提供了隔离,限制他们对系统资源的访问,而进程没有意识到这些限制,为防止容器内的特权升级攻击的最佳方法是将容器的应用程序配置为作为非特权用户运行,对于其进程必须作为容器中的 root 用户运行的容器,可以将此用户重新映射到 Docker 主机上权限较低的用户。
自动化信任和依赖对航空安全的危害及其改进
人机与认知实验室
11-23 2330
摘要:自动化系统在现今航空业中得到了广泛应用, 然而复杂的自动化系统的引入产生了新的失误模式, 使航空人因安全问题变得更加突出。受多种因素影响, 操作者在与自动化系统的交...
配置docker信任_探索Docker的新内容信任功能
danpob13624的博客
05-01 1057
配置docker信任 现代发展越来越多地涉及利用第三方。 无论是使用Azure和AWS之类的平台从npm或GitHub等存储库中编程库,还是从Stack Overflow复制代码示例,都可以公平地说,应用程序中使用的大多数代码将由主要开发人员之外的其他人编写。 Docker将第三方添加到开发人员可以在其流程中使用的第三方。 具体来说,Docker Hub提供了一种快速启动并运行各种应用程序...
dockerdocker trust inspect作用
04-12
### Docker `trust inspect` 命令的功能与用法 `docker trust inspect` 是 Docker 中用于查看信任策略的详细信息的一个命令。它主要用于检查由 Notary 和 Docker Content Trust (DCT) 配置的信任元数据,这些元数据定义了如何验证镜像签名以及确保镜像的真实性和完整性。 以下是关于该命令的一些重要说明: #### 功能概述 通过执行 `docker trust inspect`,用户可以获得有关特定镜像或其标签的信任配置的信息。这包括签发者、密钥详情以及其他与内容可信度相关的属性。此功能对于企业环境中实施严格的镜像安全控制尤为重要[^1]。 #### 使用方法 基本语法如下所示: ```bash docker trust inspect [OPTIONS] NAME[:TAG|@DIGEST] ``` - **NAME**: 表示要查询的具体镜像名称。 - **TAG 或 DIGEST**: 可选部分;如果省略,则默认显示最新版本的相关信息。 例如,为了获取名为 `myrepo/app` 的镜像及其标记为 `v1.0` 的具体信任设置,可以运行以下命令: ```bash docker trust inspect myrepo/app:v1.0 ``` 此外还可以附加一些选项来调整输出格式或者过滤结果,比如使用 `-j/--json` 参数返回 JSON 格式的原始数据以便于程序解析。 #### 输出解读 典型的响应可能包含以下几个方面: - **Signatures:** 列出了所有有效的数字签名列表连同它们对应的公钥指纹。 - **Roles:** 显示哪些角色被授权签署当前实体(如开发者, CI系统等). - **Expiration Date:** 指定每条记录的有效期限. 以上各项均有助于管理员评估整个供应链的安全状况并及时更新过期凭证[^2]. #### 注意事项 虽然上述介绍涵盖了大部分常规场景下的应用方式,但在实际部署过程中仍需注意以下几点: - 确保目标主机已启用 Docker Content Trust (`export DOCKER_CONTENT_TRUST=1`) 否则即使存在相关联的信任对象也可能无法正常检视. - 对私有注册表的操作前应先完成身份认证过程(`docker login`)以免因权限不足而导致失败. --- ### 示例代码 下面给出一段简单的脚本演示如何自动化提取某个远程存储库下全部可用版本号所关联的信任细节: ```python import subprocess def get_trust_info(repo_name): try: result = subprocess.run(['docker', 'trust', 'inspect', repo_name], capture_output=True, text=True) if result.returncode != 0: raise Exception(f"Error occurred: {result.stderr}") print(result.stdout) except Exception as e: print(e) if __name__ == "__main__": repository = input("Enter the full path of your docker image including registry domain:") get_trust_info(repository) ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值